Интеграция Active Directory с SoftlineDrive
SoftlineDrive интеграция с Active Directory
SoftlineDrive интегрируется с Active Directory (AD), позволяя импортировать пользователей AD через веб-портал. Установив успешную связь между SoftlineDrive и AD, вы сможете выбрать следующие объекты AD при определении разрешений для совместной работы с папкой группы или для папки группы:
- Группы,
- Организационные подразделения,
- Прокси-группы (также известные как роли. Пример: администраторы, пользователи, гости и т. Д.) И
- Пользователи.
Если вы импортируете одного или нескольких пользователей, выбрав группу AD, содержащую пользователей, пользователи не будут отображаться в системе управления пользователями SoftlineDrive, пока они не войдут в SoftlineDrive в первый раз. Если вы импортируете пользователя AD напрямую, он сразу же появится в разделе управления пользователями SoftlineDrive.
После импорта пользователя в SoftlineDrive он останется связанным с Active Directory следующими тремя свойствами AD. Все 3 свойства должны совпадать в обеих системах:
- userPrincipalName (также известный как UPN, например: myname@mydomain.local),
- sAMAccountName (также известный как SAM, пример: myname) и
- электронная почта (myname@example.com)
Вы можете проверить эти свойства в AD для диагностики проблем со связью AD / SoftlineDrive, щелкнув правой кнопкой мыши пользователя и выбрав «Свойства» в контекстном меню. Затем выберите «Редактор атрибутов», чтобы просмотреть имена и значения свойств. Редактор атрибутов является частью расширенных функций AD, поэтому, если вы не видите этот параметр, включите его в меню «Просмотр». В SoftlineDrive значения AD хранятся в базе данных и не видны через веб-портал.
Любые изменения, внесенные пользователем в AD, не отражаются ни в SoftlineDrive, ни наоборот. Например, если человек меняет свою фамилию из-за брака, изменение фамилии необходимо выполнить вручную как в SoftlineDrive, так и в AD. Если вы измените только фамилию в AD, связь будет сохраняться с SoftlineDrive до тех пор, пока userPrincipalName, sAMAccountName и адрес электронной почты также не изменятся. Пользователь сможет войти в SoftlineDrive, но отображаемое имя будет разным в обеих системах. На момент написания этой статьи такое поведение было задумано, но в будущем могут быть реализованы дополнительные синхронизации AD.
Если Вы измените пароль пользователя в AD, пользователь сразу же сможет войти в SoftlineDrive, используя как новый пароль (из AD), так и старый пароль (из SoftlineDrive). Если вы хотите сохранить в обеих системах один и тот же пароль, изменение пароля также необходимо будет выполнить вручную в SoftlineDrive.
Если отключить пользователя только в AD, вход в SoftlineDrive также будет отключен, но пользователь будет отображаться так, как если бы он был включен на экране управления пользователями. Чтобы избежать путаницы, вам также придется отключить / приостановить работу пользователя в SoftlineDrive.
По причинам, указанным выше, лучше не «перерабатывать» пользователей AD, просто переименовывая свойства AD человека, который покинул организацию с новым пользователем. Всегда лучше создавать новых пользователей AD с нуля, а затем импортировать их в SoftlineDrive.
В отличие от изменений пользователей, любые изменения в организационных единицах (OU) и группах AD, такие как переименование подразделения / группы или добавление / удаление дочерних объектов, немедленно отражаются обратно в SoftlineDrive. В противном случае вы можете попробовать нажать кнопку обновления на панели инструментов клиента -> Сведения о пользователе (щелкните пользователя) -> страница Группы. Если вы заметили, что членство в группах не обновляется даже после обновления группы, убедитесь, что вы подключаетесь к AD с учетной записью администратора.
Создавать учетные записи служб для этого не рекомендуется, поскольку в них отсутствует параметр LDAP "read memberOf". Без этого соединение с AD может быть установлено, но SoftlineDrive может работать некорректно.
SoftlineDrive можно интегрировать с локальным и удаленным Active Directory (AD). Вы можете перенести своих пользователей AD и общие папки в облако, настроенные разрешения NTFS будут соблюдаться при доступе пользователей.
В данной инструкции мы не будем рассматривать интеграцию с локальным AD, так как это подразумевает наличие инсталляции SoftlineDrive внутри конечной инфраструктуры. Настройка интеграции по протоколу LDAP доступна только для локального AD – в рамках сервиса доступна только интеграция с сервисной AD Виртуальный офис Multitenant на базе Exchange.
Удаленный Active Directory
Когда Active Directory находится в удаленном месте, вдали от сервера SoftlineDrive (не в той же локальной сети), вы можете установить агент сервера на компьютере домена.
Только администратор может загрузить агент сервера. После установки агента сервера администратор клиента может импортировать пользователей Active Directory и общие сетевые ресурсы файлового сервера, размещенные на машине.
Использование агент сервера SL Drive
Загрузка дистрибутива
Скачать дистрибутив агент сервера возможно несколькими способами:
Способ №1
Войдите в файловый браузер, выберете в меню слева пункт Install Windows Client:
Выберете дистрибутив для скачивания в соответствии с типом и версией операционной системы:
Способ №2
Нажмите на значок пользовательского меню, затем в выпадающем списке выберите пункт меню Download and install desktop or server client:
Выберите дистрибутив для скачивания в соответствии с типом и версией операционной системы:
Способ №3
Перейдите в меню управления:
На открывшейся странице слева в меню выберете пункт «Client Downloads»
Выберите дистрибутив для скачивания в соответствии с типом и версией операционной системы:
Установка агента
Запустите полученный дистрибутив:
Следуя шагам мастера установки, выполните установку приложения:
После завершения установки агент запустится автоматически.
Внимание! Одновременно на компьютере может функционировать либо локальный клиент, либо серверный агент.
Для работы не требуется установки агента на все контроллеры домена. Достаточно провести инсталляцию на любой сервер Windows с разрешением на доступ к домену.
Добавление пользователей Active Directory
Когда локальный и/или удаленный Active Directory настроены, при добавлении нового пользователя в «Источники нового пользователя» Вы увидите Active Directory и / или агент сервера.
Перейдите в раздел «Users»:
Добавьте нового пользователя, для это нажмите на кнопку в панели управления:
Далее в качестве источника необходимо выбрать удаленный AD:
В открывшемся окне можно выбрать на основе каких Organizational Unit и пользователей требуется создать новую учетную запись в SLDrive.
Для этого необходимо установите чекбокс напротив требуемых пользователей (1).
Пользователи, которые были интегрированы ранее, уже имеют статус Added (2):
После установки чекбоксов требуется нажать кнопку Continue:
Далее необходимо подтвердить создание пользователя, нажав кнопку Continue:
На следующем этапе можно назначить групповые папки(1), группы(2) и роли(3).
После чего подтвердить создание пользователя, нажав кнопку Commit:
Запись о новом пользователе появится в разделе Users, при этом новый пользователь будет иметь тип «Proxied AD User»:
Группы, добавленные с помощью агента сервера, будут иметь тип «Proxied AD Group».
Типы «AD User» или «AD Group» будет определять пользователей, добавленных из локальной Active Directory.
Также возможно изменить тип пользователя на Native User.
Для этого необходимо в разделе Users (1) выбрать пользователя (2), после чего нажать на кнопку Edit (3):
В открывшемся окне необходимо нажать на кнопку Convert To Native User:
Во всплывающем окне необходимо установить новый пароль (1), подтвердить пароль (2) и подтвердить конвертацию, нажав кнопку Submit (3):
После конвертация тип пользователя изменится на Native User:
Также возможна процедура по изменению нативного пользователя (Native User) из SL Drive в удаленный AD (Proxied AD User).
Для этого необходимо в разделе Users (1) выбрать пользователя (2), после чего нажать на кнопку Edit (3):
В открывшемся окне необходимо нажать на кнопку Convert To Proxied AD User:
Далее из выпадающих списков необходимо выбрать агент сервера (1), сопоставить пользователя SL Drive с пользователем удаленного AD (2) и нажать кнопку Continue:
После конвертация тип пользователя изменится на Proxied AD User:
Интеграция Softline Drive и Виртуальный Офис Multitenant на базе Exchange
В рамках интеграции сервиса, проработана возможность синхронизации пользователей Softline Drive с пользователями Виртуальный Офис Multitenant на базе Exchange (Не применимо к Частным решениям).
По политике безопасности и из-за особенностей архитектуры публичного решения, данную настройку возможно применить только к одной организации публичного решения Виртуальный офис и осуществляется только через Техническую поддержку.
Выполнив данную настройку, Вам не потребуется дополнительно устанавливать Server Agent на свой контроллер домена для синхронизации пользователей с User AD, достаточно будет использования утилиты ADSync используемой для синхронизации User AD на сервисе Виртуальный Офис Multitenant на базе Exchange (Подробнее об использовании ADSync «Настройка модуля ADSync»).
Если Вы используете для работы с почтовыми ящиками только панель управления https://panel.slcloud.ru/ то дополнительные утилиты не потребуются.
Требования для инициации процедуры
Доступ в панель https://panel.slcloud.ru/ для управления имеют только администратор-владелец подписки и доп. адимнистраторы-контакты, после привязки к одному из них пользователя инфраструктурной AD (Пользователя с почтовым ящиком) получит доставочный набор прав для реализации подключения по LDAP подписки Softline Drive к целевому OU AD Виртуальный Офис Multitenant.
Для примера используем уже созданный почтовый ящик (В примере SMTP = Principal Name).
Перейдя в «Профиль» редактирования «Основного контакта» установите привязку к выбранному пользователю в пункте «Authenticate via AD account».
После данных манипуляций, Вы сможете авторизоваться в панель управления panel.slcloud.ru в качестве администратора, не только под изначальными учетными данными но под учетной записью привязанного пользователя.
По аналогии, можно выполнить привязку к Контакту – доп. администратору.
Установите в настройках чекбокс «Разрешить доступ к панели управления» и выполните привязку к выбранному пользователю в пункте «Authenticate via AD account»
Установленный Шаблон доступа не повлияет на выполнение настройки.
После того как Вы выбрали пользователя, от имени которого будет осуществляться подключение к OU инфраструктурной AD привязанной к Вашей подписке Виртуальный Офис, потребуется создать обращение в техническую поддержку для инициации интеграции. В рамках обращения потребуется сообщить наименование и пароль от выбранного пользователя установленного в настройке «Authenticate via AD account».
Внимание!
- При смене пароля от пользователя для подключения, синхронизация прервется Все синхронизированные пользователи останутся в статусе на момент последнего изменения. Если пароль от пользователя для синхронизации потребовалось сменить, сообщите об этом в техподдержку, сообщив новый пароль для перенастройки подключения.
- Вы так же сможете использовать Server Agent для синхронизации пользователей, вне зависимости от того включена или нет интеграция с почтовым сервисом Виртуальный Офис.
После выполнения настройки, в опции создания пользователей, кроме Native User (1) создания пользователя с удаленного устройства подтянутых через Server Agent (3), у Вас так появится отображение сервисного домена voffice-11.saas (2) через данный раздел и появится возможность создавать пользователей Softline Drive на базе существующих пользователей сервиса Виртуальный Офис.
Выбрав voffice-11.saas (2) Вы увидите набор пользователей и групп Вашей подписки Виртуальный офис. Выключенные пользователи и пользователи лежащие в основе групповых ящиков и ящиков ресурса отображены не будут. Для сопоставления требуется использовать только User AD, но не отображенные группы. Статус Added говорит о наличии сопоставления пользователя.
Обратите внимание на пользователя под номером 13 данный пользователь имеет статус Native User и управляется исключительно через панель управления, но имеет статус Added, так как при создании пользователь автоматически сопоставляется с User AD в OU подписки Виртуальный офис по адресу электронной почты – SMTP записи.
Перейдя в настройки целевого пользователя Вы сможете самостоятельно выбрать источник сопоставления:
- CONVERT TO AD USER – cконвертирует пользователя в AD User – источником изменения будет сопоставленный по Primary SMTP пользователь Виртуального Офиса.
- CONVERT TO PROXIED AD USER - cконвертирует пользователя в Proxied AD – позволит обозначить пользователя для сопоставления с удаленного устройства через Server Agent (Описано в предыдущих статьях).
Так как сопоставление идет именно по Primary SMTP записи (Не по Alias smtp!), то изменение оной повлечет прерывание сопоставления.
Если Вам потребовалось изменить адрес электронной почты, к примеру сотрудник сменил фамилию.
- Скорректируйте Primary SMTP запись в панели управления сервиса Виртуальный офис panel.slcloud.ru у целевого пользователя.
- В панели управления Softline Drive drive.slcloud.ru перейдите в настройки целевого пользователя и сконвертируйте его в локального пользователя «Native User» - выбрав опцию CONVERT TO NATIVE USER
Затем измените Email пользователя на новый, соответствующий Primary SMTP пользователя Виртуальный офис
- Выполните обратную конвертацию CONVERT TO AD USER
- Настраивается исключительно через техподдержку по факту предоставления имени пользователя\пароля привязанного к учетной записи владельца или доп. администратора подписки Виртуальный офис multitenant на базе Exchange.
- Если учетная запись используемая для настройки сопоставления сменит пароль – то сопоставление прервется.
- Сопоставление пользователей осуществляется по Email - Primary SMTP записи, Alias smtp не валидны для сопоставления. При изменении Primary SMTP записи пользователя со стороны Виртуальный офис, потребуется изменить Email пользователя Softline Drive
- Настройка интеграции осуществляется только для одной организации Виртуальный офис Multitenant на базе Exchange.
- Сопоставлению подлежат только User AD с пользовательскими почтовыми ящиками. Группы\ящики ресурса\общие ящики не подлежат сопоставлению
Не нашли инструкцию?
Заполните форму, и наш специалист свяжется с вами.
Мы дополним информацию и ответим на ваш вопрос.
Оставить заявку